Критическая уязвимость GitLab CVE-2021-22205 активно эксплуатируется: CISA предупреждает об угрозе
CISA выпустило экстренное распоряжение о срочном исправлении критической уязвимости в GitLab (CVE-2021-22205), активно используемой злоумышленниками. Риск RCE без аутентификации.
CISA выпустило экстренное распоряжение по критической уязвимости в GitLab
Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило экстренное распоряжение, обязывающее федеральные ведомства устранить пятилетнюю критическую уязвимость в GitLab (CVE-2021-22205), которая активно эксплуатируется в атаках. Уязвимость позволяет выполнять удаленное выполнение кода (RCE) без аутентификации и представляет серьезную угрозу для незащищенных систем.
Технические детали CVE-2021-22205
- Идентификатор CVE: CVE-2021-22205
- Оценка CVSS: 10.0 (Критическая)
- Уязвимые версии: GitLab Community Edition (CE) и Enterprise Edition (EE) с 11.9 по 13.10.3
- Тип уязвимости: Неправильная проверка входных данных в компоненте ExifTool GitLab, приводящая к RCE без аутентификации
- Вектор эксплуатации: Злоумышленники могут загружать вредоносные файлы изображений для запуска произвольного кода без аутентификации
Уязвимость была первоначально раскрыта в апреле 2021 года, однако остается актуальной угрозой из-за задержек с установкой патчей в корпоративных средах. Распоряжение CISA подчеркивает продолжающиеся попытки эксплуатации, направленные на государственные и частные организации.
Анализ последствий
Успешная эксплуатация CVE-2021-22205 позволяет злоумышленникам:
- Выполнять произвольные команды на уязвимых серверах GitLab
- Получать несанкционированный доступ к конфиденциальным репозиториям и CI/CD-конвейерам
- Развертывать программы-вымогатели, бэкдоры или другие вредоносные полезные нагрузки
- Перемещаться по скомпрометированной сети (lateral movement)
Исследователи в области безопасности зафиксировали атаки в реальных условиях, использующие эту уязвимость, включая попытки развертывания криптомайнеров и установления постоянного доступа. Высокая степень опасности и простота эксплуатации делают эту уязвимость привлекательной целью для киберпреступников.
Меры по снижению рисков и рекомендации
Обязательное операционное распоряжение CISA (BOD 22-01) требует от федеральных ведомств:
- Немедленно установить патчи до версий GitLab 13.10.3 или новее
- Изолировать уязвимые системы, если установка патчей невозможна
- Мониторить признаки компрометации, включая необычные изменения в репозиториях или несанкционированный доступ
Для частных организаций специалистам по безопасности рекомендуется:
- Приоритизировать установку патчей на все экземпляры GitLab
- Анализировать журналы на предмет подозрительной активности, такой как неожиданные загрузки файлов или выполнение команд
- Внедрить сегментацию сети для ограничения lateral movement
- Включить многофакторную аутентификацию (MFA) для учетных записей GitLab
GitLab предоставило подробные инструкции по установке патчей для уязвимых версий. Организациям настоятельно рекомендуется проверить свои экземпляры GitLab и незамедлительно применить обновления.
Заключение
Несмотря на то что уязвимость CVE-2021-22205 известна уже давно, она продолжает эксплуатироваться из-за наличия незащищенных систем. Распоряжение CISA подчеркивает необходимость срочного устранения устаревших уязвимостей, особенно тех, которые позволяют выполнять удаленный код. Специалистам по безопасности необходимо действовать быстро, чтобы снизить риски и предотвратить возможные инциденты.